基本的なアクセス制御ポリシーの作成

セキュリティゲートウェイ Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。は、アクセスコントロールルールベース特定のセキュリティポリシーで構成されているすべてのルール。同義語:ルールベース。を構成する一連のルール通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。を使用して、コンピュータ、クライアント、サーバ、およびアプリケーションへのアクセスを制御します。安全なアクセス制御と最適化されたネットワークパフォーマンスを実現するルールベースを構成する必要があります。

強力なアクセスコントロールルールベース。

許可された接続のみを許可し、ネットワークの脆弱性を防止します。
許可されたユーザが正しい社内リソースにアクセスできるようにする。
接続部の検査を効率的に行えます。

基本ルール

ベストプラクティス- これらは、すべてのルールベースに対して推奨される基本的なアクセス制御ルールです。

Security Gatewayへの直接アクセスを防止するステルスルール
ポリシー内の以前のルールでマッチしないすべてのトラフィックをドロップするクリーンアップルール

ユースケース - 基本的なアクセスコントロール

この使用例では、単純なアクセス制御のセキュリティポリシーのルールベースを示しています。(Hits,VPN,Content の列は表示されていません)。

いいえ	名前	発信元	宛先	サービス&アプリケーション	アクション	追跡	インストール
1	セキュリティゲートウェイへのアドミニストレーターアクセス	Admins (アクセスロール)	セキュリティゲートウェイ群	Any	許可	Log	ポリシーの対象
2	ステルス	Any	セキュリティゲートウェイ群	Any	ドロップ	注意喚起	ポリシーの対象
3	クリティカルサブネット	内部	ファイナンス HR R&D	Any	許可	Log	CorpGW
4	技術サポート	テックサポート	Remote1-web	HTTP	許可	注意喚起	Remote1GW
5	DNSサーバ	Any	DNS	ドメイン UDP	許可	なし	ポリシーの対象
6	メールサーバ、Webサーバ	Any	DMZ	HTTP HTTPS SMTP	許可	Log	ポリシーの対象
7	SMTP	郵便物	NOT 内部ネットグループ	SMTP	許可	Log	ポリシーの対象
8	DMZ& インターネット	IntGroup	Any	Any	許可	Log	ポリシーの対象
9	クリーンアップルール	Any	Any	Any	ドロップ	Log	ポリシーの対象

ルールについての説明。

ルール	説明
1	Admin Access to Gateways - SmartConsole Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。の管理者は、Security Gatewayへの接続を許可されます。
2	Stealth - SmartConsole管理者からSecurity Gatewayのいずれかに接続されていない内部トラフィックは、すべてドロップされます。接続がステルスルールに一致すると、SmartView Monitorに警告ウィンドウが表示されます。
3	Critical subnet - 内部ネットワークファイアウォールによって保護され、認証されたユーザによってアクセスされるコンピュータとリソース。から指定したリソースへのトラフィックがログに記録されます。このルールでは、3つのサブネットをクリティカルリソースとして定義しています。財務、人事、R&D.
4	Tech support - テクニカルサポートサーバがリモート1セキュリティゲートウェイの背後にあるリモート1Webサーバにアクセスすることを許可する。HTTPトラフィックのみ許可されます。パケットが Tech support ルールに一致した場合、Alert アクションが実行されます。
5	DNS server - 外部DNSサーバへのUDPトラフィックを許可する。このトラフィックはログに記録されません。
6	Mail and Web servers - DMZに配置されたメールサーバとWebサーバへの受信トラフィックを許可する。HTTP、HTTPS、SMTPのトラフィックが許可されます。
7	SMTP - メールサーバへの送信用SMTP接続を許可する。メールサーバの漏洩を防ぐため、内部ネットワークへのSMTP接続を許可しない。
8	DMZ and Internet - 内部ネットワークからDMZやインターネットへのトラフィックを許可する。
9	Cleanup rule - 先のルールのいずれかに一致しないすべてのトラフィックをドロップします。

ユースケース - 各部門のインラインレイヤー

この使用例では、各部門のサブポリシーを持つ基本的なアクセスコントロールポリシーを示しています。各部門のルールは、インラインレイヤセキュリティポリシーの別のルールで使用されるルールのセット。ーになっています。インラインレイヤーは、ルールベースの他の部分から独立しています。異なるレイヤーの所有権を異なる管理者に委譲することができます。

いいえ	名前	発信元	宛先	サービス&アプリケーション	内容	アクション	追跡
1	クリティカルサブネット	内部	ファイナンス HR	Any	Any	許可	Log
2	SMTP	郵便物	NOT内部ネットワーク（グループ）	smtp	Any	許可	Log
3	R&D部門	R&Dロール	Any	Any	Any	テックサポートレイヤー	N/A
3.1	R&D サーバ	Any	R&Dサーバ(グループ) QAネットワーク	Any	Any	許可	Log
3.2	R&D ソースコントロール	InternalZone	ソースコントロールサーバ（グループ）	シーッ http https	Any	許可	Log
---	---	---	---	---	---	---	---
3.X	クリーンアップルール	Any	Any	Any	Any	ドロップ	Log
4	QA部門	QAネットワーク	Any	Any	Any	QAレイヤー	N/A
4.1	R&Dサーバへのアクセスを許可する。	Any	R&Dサーバ(グループ)	Webサービス	Any	許可	Log
---	---	---	---	---	---	---	---
4.Y	クリーンアップルール	Any	Any	Any	Any	ドロップ	Log
5	すべてのユーザが従業員ポータルにアクセスできるようにする。	Any	従業員ポータル	Webサービス	Any	許可	なし
---	---	---	---	---	---	---	---
9	クリーンアップルール	Any	Any	Any	Any	ドロップ	Log

ルールについての説明。

ルール	説明
1 2	組織全体の総則
3 3.1 3.2 --- 3.X	R&D部門のインラインレイヤー。ルール3は、インラインレイヤーの親ルールです。Action は、インラインレイヤーの名前です。パケットが親ルール3にマッチしない場合。マッチングはインラインレイヤの外側にある次のルール（ルール4）に続けられる。パケットが親ルール3にマッチした場合。マッチングは3.1まで続き、インラインレイヤー内の最初のルールになります。パケットがこのルールにマッチした場合、そのパケットに対してルールアクションが実行されます。パケットがルール3.1にマッチしない場合、インラインレイヤ内の次のルールであるルール3.2に進みます。一致するものがない場合は、インラインレイヤの残りのルールに進みます。---は、1つ以上のルールを意味します。パケットはインラインレイヤの内部でのみマッチングされます。インラインレイヤーには暗黙のクリーンアップルールがあるため、インラインレイヤーから離れることはない。ルール4、5、およびOrdered Layerの他のルールではマッチングされません。ルール3.Xは、cleanup rule.インラインレイヤの先のルールのいずれかにマッチしないトラフィックをすべてドロップします。これはデフォルトの明示的なルールである。ルールは変更または削除することができます。ベストプラクティス- インラインレイヤーとオーダリングレイヤーの最後のルールとして、明示的なクリーンアップルールを持つこと。
4 4.1 --- 4.Y	もう一つのインラインレイヤーは、QA部門用です。
5	より一般的な組織全体のルール
--	1つまたは複数のルール。
9	Cleanup rule - Ordered Layerの先のルールのいずれかに一致しないトラフィックをすべてドロップします。これはデフォルトの明示的なルールである。ルールは変更または削除することができます。ベストプラクティス- インラインレイヤーとオーダリングレイヤーの最後のルールとして、明示的なクリーンアップルールを持つこと。